Zusammenfassung
Transport Layer Security (TLS) 1.0 und 1.1 sind Sicherheitsprotokolle zum Erstellen von Verschlüsselungskanälen über Computernetzwerke. Microsoft unterstützt sie seit Windows XP und Windows Server 2003. Die gesetzlichen Anforderungen ändern sich jedoch. Außerdem gibt es neue Sicherheitsschwächen in TLS 1.0. Daher empfiehlt Microsoft, tls 1.0- und 1.1-Abhängigkeiten zu entfernen. Außerdem wird empfohlen, TLS 1.0 und 1.1 nach Möglichkeit auf Betriebssystemebene zu deaktivieren. Weitere Informationen finden Sie unter Deaktivieren von TLS 1.0 und 1.1. Im Vorschauupdate vom 20. September 2022 deaktivieren wir TLS 1.0 und 1.1 standardmäßig für Anwendungen, die auf winhttp und wininet basieren. Dies ist Teil einer laufenden Bemühungen. Dieser Artikel hilft Ihnen, sie erneut zu aktivieren. Diese Änderungen werden nach der Installation von Windows-Updates wider, die am oder nach dem 20. September 2022 veröffentlicht wurden.
Verhalten beim Zugriff auf TLS 1.0- und 1.1-Links im Browser
Nach dem 20. September 2022 wird eine Meldung angezeigt, wenn Ihr Browser eine Website öffnet, die TLS 1.0 oder 1.1 verwendet. Siehe Abbildung 1. Die Meldung besagt, dass die Website ein veraltetes oder unsicheres TLS-Protokoll verwendet. Um dies zu beheben, können Sie das TLS-Protokoll auf TLS 1.2 oder höher aktualisieren. Wenn dies nicht möglich ist, können Sie TLS wie unter Aktivieren von TLS Version 1.1 und niedriger beschrieben aktivieren.
Abbildung 1: Browserfenster beim Zugriff auf TLS 1.0- und 1.1-Webseiten
Verhalten beim Zugriff auf TLS 1.0- und 1.1-Links in winhttp-Anwendungen
Nach dem Update können auf winhttp basierende Anwendungen fehlschlagen. Die Fehlermeldung lautet: "ERROR_WINHTTP_SECURE_FAILURE beim Ausführen des WinHttpSendRequest-Vorgangs."
Verhalten beim Zugriff auf TLS 1.0- und 1.1-Links in benutzerdefinierten Benutzeroberflächenanwendungen basierend auf winhttp oder wininet
Wenn eine Anwendung versucht, eine Verbindung mit TLS 1.1 und niedriger herzustellen, scheint die Verbindung möglicherweise fehlzuschlagen. Wenn Sie eine Anwendung schließen oder nicht mehr funktionieren, wird das Dialogfeld Programmkompatibilitäts-Assistent (PCA) wie in Abbildung 2 dargestellt angezeigt.
Abbildung 2: Dialogfeld "Programmkompatibilitäts-Assistent" nach dem Schließen einer Anwendung
Im PCA-Dialogfeld wird folgendes angezeigt: "Dieses Programm wurde möglicherweise nicht ordnungsgemäß ausgeführt." Darunter gibt es zwei Optionen:
-
Ausführen des Programms mithilfe von Kompatibilitätseinstellungen
-
Dieses Programm wurde ordnungsgemäß ausgeführt
Ausführen des Programms mithilfe von Kompatibilitätseinstellungen
Wenn Sie diese Option auswählen, wird die Anwendung erneut geöffnet. Jetzt funktionieren alle Links, die TLS 1.0 und 1.1 verwenden, ordnungsgemäß. Ab dann wird kein PCA-Dialogfeld angezeigt. Der Registrierungs-Editor fügt den folgenden Pfaden Einträge hinzu:
-
Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store.
-
Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers.
Wenn Sie diese Option versehentlich ausgewählt haben, können Sie diese Einträge löschen. Wenn Sie sie löschen, wird beim nächsten Öffnen der App das PCA-Dialogfeld angezeigt.
Abbildung 3: Liste der Programme, die mit Kompatibilitätseinstellungen ausgeführt werden sollen
Dieses Programm wurde ordnungsgemäß ausgeführt
Wenn Sie diese Option auswählen, wird die Anwendung normal geschlossen. Wenn Sie die Anwendung das nächste Mal erneut öffnen, wird kein PCA-Dialogfeld angezeigt. Das System blockiert alle TLS 1.0- und 1.1-Inhalte. Der Registrierungs-Editor fügt dem PfadComputer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store den folgenden Eintrag hinzu . Siehe Abbildung 4. Wenn Sie diese Option versehentlich ausgewählt haben, können Sie diesen Eintrag löschen. Wenn Sie den Eintrag löschen, wird beim nächsten Öffnen der App das PCA-Dialogfeld angezeigt.
Abbildung 4: Eintrag im Registrierungs-Editor, der angibt, dass die App ordnungsgemäß ausgeführt wurde
Wichtig Ältere TLS-Protokolle sind nur für bestimmte Anwendungen aktiviert. Dies gilt auch, wenn sie in systemweiten Einstellungen deaktiviert sind.
Aktivieren Von TLS Version 1.1 und niedriger (Wininet- und Internet Explorer-Einstellungen)
Es wird davon abgeraten, TLS 1.1 und niedriger zu aktivieren, da sie nicht mehr als sicher gelten. Sie sind anfällig für verschiedene Angriffe, z. B. den POODLE-Angriff. Führen Sie daher vor dem Aktivieren von TLS 1.1 eine der folgenden Aktionen aus:
-
Überprüfen Sie, ob eine neuere Version der Anwendung verfügbar ist.
-
Bitten Sie den App-Entwickler, Konfigurationsänderungen in der App vorzunehmen, um die Abhängigkeit von TLS 1.1 und niedriger zu entfernen.
Falls keine der Lösungen funktioniert, gibt es zwei Möglichkeiten, ältere TLS-Protokolle in systemweiten Einstellungen zu aktivieren:
-
Internetoptionen
-
Gruppenrichtlinien-Editor
Internetoptionen
Um Internetoptionen zu öffnen, geben Sie Internetoptionen in das Suchfeld auf der Taskleiste ein. Sie können auch einstellungen ändern aus dem in Abbildung 1 gezeigten Dialogfeld auswählen. Scrollen Sie auf der Registerkarte Erweitert im Bereich Einstellungen nach unten. Dort können Sie TLS-Protokolle aktivieren oder deaktivieren.
Abbildung 5: Dialogfeld "Interneteigenschaften"
Der Gruppenrichtlinie-Editor
Um den Gruppenrichtlinie-Editor zu öffnen, geben Sie gpedit.msc in das Suchfeld der Taskleiste ein. Ein Fenster wie in Abbildung 6 wird angezeigt.
Abbildung 6: Gruppenrichtlinie-Editor-Fenster
-
Navigieren Sie zu Richtlinien > für lokale Computer(Computerkonfiguration oder Benutzerkonfiguration) > Administrative Templets > Windows-Komponenten > Internet Explorer > Internet Systemsteuerung > Erweiterte Seite > Verschlüsselungsunterstützung deaktivieren. Siehe Abbildung 7.
-
Doppelklicken Sie auf Verschlüsselungsunterstützung deaktivieren.
Abbildung 7: Pfad zum Deaktivieren der Verschlüsselungsunterstützung im Gruppenrichtlinie-Editor
-
Wählen Sie die Option Aktiviert aus. Verwenden Sie dann die Dropdownliste, um die TLS-Version auszuwählen, die Sie aktivieren möchten, wie in Abbildung 8 dargestellt.
Abbildung 8: Aktivieren Von Verschlüsselungsunterstützung deaktivieren und Dropdownliste
Nachdem Sie die Richtlinie im Gruppenrichtlinie-Editor aktiviert haben, können Sie sie nicht mehr unter Internetoptionen ändern. Wenn Sie beispielsweise SSL3.0 und TLS 1.0 verwenden auswählen, sind alle anderen Optionen unter Internetoptionen nicht verfügbar. Siehe Abbildung 9. Sie können die Einstellungen unter Internetoptionen nicht ändern, wenn Sie die Option Verschlüsselungsunterstützung deaktivieren im Gruppenrichtlinie-Editor aktivieren.
Abbildung 9: Internetoptionen mit nicht verfügbaren SSL- und TLS-Einstellungen
Aktivieren von TLS Version 1.1 und niedriger (winhttp-Einstellungen)
Weitere Informationen finden Sie unter Update zum Aktivieren von TLS 1.1 und TLS 1.2 als sichere Standardprotokolle in WinHTTP unter Windows.
Wichtige Registrierungspfade (Wininet- und Internet Explorer-Einstellungen)
-
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings
-
Hier finden Sie SecureProtocols, das den Wert der aktuell aktivierten Protokolle speichert, wenn Sie den Gruppenrichtlinie-Editor verwenden.
-
-
Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
-
Hier finden Sie SecureProtocols, das den Wert der derzeit aktivierten Protokolle speichert, wenn Sie Internetoptionen verwenden.
-
-
Gruppenrichtlinie SecureProtocols hat Vorrang vor dem von Internetoptionen festgelegten.
Aktivieren eines unsicheren TLS-Fallbacks
Die obigen Änderungen aktivieren TLS 1.0 und TLS 1.1. Sie aktivieren jedoch kein TLS-Fallback. Zum Aktivieren des TLS-Fallbacks müssen Sie EnableInsecureTlsFallback in der Registrierung unter den unten angegebenen Pfaden auf 1 festlegen.
-
So ändern Sie einstellungen: SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttp
-
So legen Sie die Richtlinie fest: SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings
Wenn EnableInsecureTlsFallback nicht vorhanden ist, müssen Sie einen neuen DWORD-Eintrag erstellen und auf 1 festlegen.
Wichtige Registrierungspfade
-
ForceDefaultSecureProtocols
-
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttp
-
Dies ist standardmäßig FALSE. Das Festlegen eines Werts ungleich 0 (null) verhindert, dass Anwendungen mithilfe der Winhttp-Option benutzerdefinierte Protokolle festlegen.
-
-
EnableInsecureTlsFallback
-
So ändern Sie einstellungen: SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttp
-
So legen Sie die Richtlinie fest: SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings
-
Dies ist standardmäßig FALSE. Wenn Sie einen Wert ungleich Null festlegen, können Anwendungen auf unsichere Protokolle (TLS1.0 und 1.1) zurückgreifen, wenn der Handshake mit sicheren Protokollen (tls1.2 und höher) fehlschlägt.
-